Na pytanie z tytułu odpowiedź wydaje się prosta. Twitter Elona Muska będzie jak Elon Musk – zaskakujący. Zapowiedzi przy akwizycji wskazywały, iż platforma pójdzie w stronę bezpieczeństwa. Na razie jest wręcz odwrotnie i, cytując klasyka, „nudy nie ma”. W poprzedni weekend firma wywołała zamieszanie nagłą decyzją o wyłączeniu metody uwierzytelniania dwuskładnikowego (2FA) dzięki wiadomości tekstowych czy SMS-ów dla wszystkich, kto nie subskrybuje płatnej usługi Twitter Blue.
„Chociaż historycznie była to popularna forma 2FA, niestety widzieliśmy, jak 2FA oparte na numerach telefonów było wykorzystywane – i nadużywane – przez złych aktorów. Dlatego od dzisiaj nie będziemy już zezwalać na rejestrację kont w metodzie 2FA dzięki wiadomości tekstowych / SMS-ów, chyba iż są to subskrybenci Twittera Blue”, ogłosił serwis w piątek 17 lutego.
„Abonenci spoza Twittera Blue, którzy są już zarejestrowani, będą mieli 30 dni na wyłączenie tej metody i zarejestrowanie się w innej. Po 20 marca 2023 r. nie będziemy już pozwalać subskrybentom spoza Twittera Blue na używanie wiadomości tekstowych jako metody 2FA” – dodała firma. Poinformowała też, iż po 20 marca konta z przez cały czas włączoną funkcją 2FA dla wiadomości tekstowych zostaną wyłączone.
Firma naciska na swoich niepłacących użytkowników, aby zamiast poprzedniego rozwiązania rozważyli użycie aplikacji uwierzytelniającej lub metody klucza bezpieczeństwa.
Sama decyzja oraz sposób, w jaki płatna funkcja jest pozycjonowana wywołały sprzeciw specjalistów ds. bezpieczeństwa, którzy twierdzą, iż tekstowe uwierzytelnianie dwuskładnikowe, mimo swoich wad, jest lepsze niż nic. Co gorsza, pojawia się fałszywe poczucie bezpieczeństwa wśród subskrybentów, którzy mogą sądzić, iż najsłabszą formą 2FA jest funkcja premium.
Tymczasem interesujące są wewnętrzne dane Twittera! Pokazują one, iż adopcja wieloczynnikowego uwierzytelniania pozostaje zaskakująco niska. Według raportu z 2021 r. zaledwie 2,3% wszystkich jego aktywnych kont stosowało co najmniej jedną metodę uwierzytelniania dwuskładnikowego w okresie od lipca do grudnia 2020 r.
Co więcej, z tych marnych 2,3% wszystkich użytkowników, którzy zdecydowali się włączyć funkcję weryfikacji hasła, 80% korzystało ze słabszego uwierzytelniania opartego na SMS-ach, o którym wiadomo, iż jest podatne na ataki typu phishing i przejmowanie kart SIM.
W tamtym czasie Twitter przyznawał, iż była to „znacząca czkawka” w sektorze. „Ogólna adopcja 2FA pozostaje na stosunkowo niskim poziomie, co jest niefortunnym wyzwaniem w całej branży. Kiedy konta nie umożliwiają 2FA, polegamy na mniej niezawodnych mechanizmach, które pomagają chronić konta na Twitterze”.
„Ogólnie rzecz biorąc, liczby te ilustrują ciągłą potrzebę zachęcania do szerszego przyjęcia 2FA, jednocześnie pracując nad poprawą łatwości, z jaką konta mogą korzystać z 2FA. Uproszczenie metod 2FA i uczynienie ich bardziej przyjaznymi dla użytkownika pomoże zachęcić do adopcji i zwiększyć bezpieczeństwo na Twitterze”. 22 listopada zeszłego roku pisaliśmy na Hacku o tym, jak cyberprzestępcy wykorzystują Twittera. Artykuł ten daje nie tylko kontekst dla tego, o czym piszemy dzisiaj, ale również pokazuje skalę problemu słabości zabezpieczeń.
I tu właśnie wracamy do pytania z tytułu. Kiedy Musk przejął Twittera, deklarował misję „uwierzytelnienia wszystkich ludzi” i pokonania botów spamujących. Wzbudziło to olbrzymi optymizm w niektórych kręgach oraz nadzieję, iż transakcja przejęcia serwisu przez właściciela Tesli pobudzi innowacje technologiczne w zakresie cyberbezpieczeństwa, głównie wokół tożsamości, uwierzytelniania wieloskładnikowego i wykrywania botnetów. Niestety kolejne decyzje dotyczące platformy pozostawiają niesmak. Coś jak przeżuty stary raport marketingowy z domieszką rdzawego pyłu marsjańskiego.